RESUMEN
La información del Registro de Viajeros, que entró en vigor este 2 de diciembre no exenta de problemas, puede acabar siendo una mina de oro para los ciberdelincuentes. Tal como la puso en marcha el Ministerio del Interior, la norma que obliga a ceder hasta 42 datos, incluido los financieros, para una reserva o el check-in en un hotel. Todo se justifica con la seguridad y la lucha contra las mafias, pero ¿no acabará facilitando el trabajo a los delincuentes cibernéticos?
Antonio M. Figueras / Escudo Digital
No hay vuelta atrás. Las quejas de las asociaciones hoteleras, los reproches de consumidores y las advertencias lanzadas por expertos en ciberseguridad no han servido para que el Gobierno dé su brazo a torcer sobre el Registro de Viajeros planteado por el Real Decreto 933/2021. Este lunes 2 de diciembre, coincidiendo con el Cyber Monday, entra en vigor.
De obligado cumplimiento para organizaciones turísticas como agencias de viajes, hoteleros, empresas de alquiler de coches y administradores de casas de campo, la normativa exige la recopilación y comunicación de datos detallados al Ministerio del Interior que dirige Fernando Grande-Marlaska. La información requerida va mucho más allá de la que contiene un documento de identidad, como sucedía hasta ahora. Ahora se exigirán 42 datos (antes era 14). En el caso de alquiler de vehículos serán 60.
Aparte de una importante carga burocrática, la norma supone riesgos de privacidad para las personas físicas, porque a la información personal habrá que añadir datos adicionales, tal vez invasivos o innecesarios. Y en cuanto a información financiera, los datos de pago abren una ventana a la intrusión de ciberatacantes. Incumplir las obligaciones del nuevo Registro de Viajeros puede suponer hasta 30.000 euros de multa para los establecimientos.
Ciberseguridad
La norma afecta a la inversión administrativa y en seguridad, un hándicap para pequeñas organizaciones que no se pueden permitir ciertos desembolsos. Sin esta puesta en marcha de tecnologías apropiadas, el campo de juego para los cibermalos se amplía. “El usuario debe tener garantía de los datos que está cediendo, sobre todo los financieros. Cuando se accede a una pasarela de pago, deben estar protegidos los datos en tránsito y los datos en reposo. La tokenización de datos sensibles y el acceso controlado a esa información deben ser seguros”, advierte Ramón Rico Gómez, Senior Cybersecurity Engineer & Presales Specialist de Logicalis.
El propósito de la legislación es dotar a las Fuerzas y Cuerpos de Seguridad del Estado, pero también a la población, de un mayor nivel de seguridad. Según Interior, más de 18.000 personas investigadas judicial o policialmente han sido localizadas en España gracias a los datos aportados por el sector turístico mediante el Registro de Viajeros.
Es una contradicción su objetivo con lo que comporta esta implantación para el ámbito de la ciberseguridad, estima Rico: “No solo los pequeños cibercriminales podrán lanzar ataques. También organizaciones de mayor en enjundia, que puedan estar financiadas por Estados, se pueden aprovechar de esta nueva mina de oro que va a suponer tanta gente cediendo datos”.
Fuentes policiales en el entorno de la ciberseguridad matizan a este diario que “cuanto más datos tenga la Policía menos obstáculos habrá para una investigación”, aunque reconocen que un mayor tráfico de datos “conlleva peligro”.
“Este aumento de información tendrá valor sobre todo para materia de terrorismo. Disponer de una mayor cantidad de datos agiliza trámites y procesos”, argumentan.
Mayor capacidad de extorsión
El tratamiento masivo de datos facilita la aparición de un nuevo caladero para los ciberdelincuentes. No hay garantías de ningún tipo si se da una brecha de datos, avisa el experto: “Se podrán aprovechar los datos de carácter personal para, por ejemplo, armar un phishing dirigido hacia una persona y estafarlo, o hacia una organización concreta. Gracias a la recopilación de información, los cibermalos tendrán mayor capacidad de extorsión si logran infiltrarse en la red de las hoteleras o de casas rurales”.
En comparación con nuestro entorno, la nueva normativa resulta mucho más estricta, indica Rico: “La legislación de la UE es mucho más laxa en cuanto a la recopilación de datos. Aquí habrá más lentitud en la gestión de reservas, será un proceso mucho más invasivo. Y en cuanto a privacidad, no se da la transparencia total de las garantías que se ofrecen por los datos cedidos, como establece el Reglamento General de Protección de Datos (GDPR)”.
El sector, en pie de guerra
No es problema menor legislar en contra de los viajeros de aquí y de fuera. España es referente como destino turístico mundial. Así los avalan los más de 85 millones de turistas que visitaron nuestro país en 2023. El clima, la gastronomía, la manera de vivir completan un panorama ideal. El sector es clave para nuestra economía (representa el 12% del PIB español).
El Reino Unido es una de las naciones que aporta más turistas extranjeros a España. Las medidas previstas motivaron una reacción airada de la opinión pública, de la que se hizo eco el Daily Mail. Con el título Furia por la ley Gran Hermano, el diario reflejaba la obligación de entregar información sensible, al tiempo que lanzaba la advertencia de que sus turistas podían decidir viajar a otro lugar porque no quieren entregar sus datos a la policía.
Según Rico, “la invasión total de la privacidad de los visitantes, la afectación a las grandes compañías que organizan viajes, sobre todo en épocas pico, las trabas en la gestión de reservas turísticas, pueden influir negativamente”. “Restar libertad a las personas que vienen de fuera de España a disfrutar de los alojamientos turísticos perjudica al sector”, añade.
¿El Registro, a los tribunales?
La Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) estudia emprender acciones legales contra el Registro de Viajeros, por varios motivos: la ausencia de diálogo por parte del Gobierno sobre el asunto y el impacto negativo que se prevé que esta normativa supondrá para el sector hotelero y los propios viajeros.
Para CEHAT, “el nuevo reglamento no solo afecta negativamente a los turistas internacionales, sino también a los ciudadanos españoles que hacen uso de hoteles y alojamientos en sus desplazamientos dentro del país”. “Estos deberán enfrentarse a trámites administrativos más complejos y tediosos, comprometiendo su experiencia de alojamiento”, apunta.
Los hoteleros estiman que van a ser obligados “a cumplir con una normativa confusa y desproporcionada y que vulnera varias directivas europeas relacionadas con la protección de datos y los sistemas de pago”.
La asociación empresarial hotelera y turística de la Comunidad Valenciana Hosbec también se plantea llevar la norma a los tribunales. Pero no son las únicas organizaciones del sector molestas por los cambios. Por citar algunos ejemplos, UNAV (Unión de Agencias de Viajes), Acave (Asociación Corporativa de Agencias de Viajes Especializadas), y Fetave (Federación Empresarial de Asociaciones Territoriales de Agencias de Viajes Españolas), también lamentan la imposición de las nuevas obligaciones.
Retrasos anteriores
El Real Decreto, 933/2021, de 26 de octubre, establece los datos que las entidades deben recabar y regular el sistema de comunicación de la información al Ministerio del Interior, que así pretendía evitar que los delincuentes utilicen este tipo de servicios en su modus operandi para cometer sus crímenes.
Entró en vigor a principios de 2022, pero se hizo una salvedad con la comunicación de datos a Interior, que pospuso al 2 de enero de 2023 la obligación para proveedores de alojamiento y alquiler de vehículos de remitir la información de sus clientes a la policía en un margen de tiempo dentro de las 24 horas posteriores a una reserva o al check-in.
Tantas fueron las críticas y quejas de los sectores afectados que se ha retrasado en varias ocasiones la implementación de la norma con la excusa de problemas técnicos en la plataforma de comunicación de datos. Pero ahora parece que este 2 de diciembre entrará en vigor.
Sobre las posibilidades de prevención de ciberataques derivados de la implantación del nuevo Reglamento de Viajeros, Rico aboga por “la concienciación y la capacitación del usuario para conocer qué puede hacer para mejorar la gestión de su dato”. “Corresponde esta formación a las distintas administraciones, que deben preparar al ciudadano para saber cómo reaccionar ante una brecha de seguridad, cuál es el procedimiento más ágil”, apunta.
ANTONIO M. FIGUERAS
Periodista y escritor
Es licenciado en Filología Hispánica y Periodismo. Ha ejercido como periodista en el diario ABC (1985-2013), donde trabajó en las secciones de Cultura y Espectáculos, Televisión y Continuidad. Fue coordinador de Fin de Semana de Vozpópuli (2015-2016). También se ha dedicado a la comunicación corporativa en distintos ámbitos. Desde 2022 colabora con Escudo Digital, donde escribe sobre temas de Interior y Defensa. Ha publicado la novela ‘La coleta de Disney’ (2018).
